La version 3.2 du référentiel SecNumCloud apporte des évolutions importantes et réunit les conditions pour accélérer leur transformation vers le numérique de confiance.
Créé en 2016 par l’ANSSI, le référentiel SecNumCloud a fait l’objet d’une refonte en 2022 : sa version 3.2 introduit des garanties de sécurité juridique, sous la forme d’exigences en matière de protection vis-à-vis des législations non-européennes. C’est le fameux article 19.6, qui vise essentiellement à protéger les données européennes contre les éventuelles ingérences des services secrets américains.
| Les nouveautés | Quel impact ? |
|---|---|
| Immunité aux lois extra-territoriales | Les acteurs dont le siège social n’est pas situé au sein de l’Union européenne ou ceux qui dépendent capitalistiquement d’acteurs non-européens ne sont plus éligibles à la qualification. |
| Principe de composition | Les éditeurs peuvent alléger leurs démarches de qualification en se concentrant uniquement sur la conformité de leur logiciel, à condition que celui-ci soit hébergé sur une infrastructure déjà qualifiée SecNumCloud. Cela simplifie le processus de qualification et réduit fortement les coûts associés. |
| Intégration des offres CaaS et PaaS | Le référentiel apporte des clarifications sur le périmètre de la qualification des offres cloud, qui intègrent désormais les solutions de Container-as-a-Service et de Platform-as-a-Service. |
« SecNumCloud, dans sa version 3.2, répond aux standards de sécurité les plus élevés en Europe. Sa rigueur en termes de protection des données est inégalée. En couvrant les risques fonctionnels, organisationnels et juridiques du cloud, il offre une approche holistique de la sécurité. »
L’ANSSI diffuse sur son site la liste complète des services cloud qualifiés SecNumCloud.
https://cyber.gouv.fr/produits-services-qualifies